本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在重新托管迁移到的过程中，为防火墙请求创建批准流程 AWS
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws"></a>

*Srikanth Rangavajhala，Amazon Web Services*

## Summary
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-summary"></a>

如果要使用云迁移工厂[AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)或开启[云迁移工厂](https://aws.amazon.com/solutions/implementations/cloud-migration-factory-on-aws/) AWS 云，则前提条件之一是必须保持 TCP 端口 443 和 1500 处于打开状态。 AWS通常，打开这些防火墙端口需要获得您的信息安全 (InfoSec) 团队的批准。

此模式概述了在将防火墙重新托管迁移到防火墙期间获得 InfoSec 团队批准的 AWS 云流程。您可以使用此流程来避免 InfoSec 团队拒绝您的防火墙请求，这可能会变得昂贵且耗时。防火墙请求流程有两个审查和批准步骤，由 AWS 迁移顾问和负责人与您 InfoSec 和应用程序团队合作打开防火墙端口。

此模式假设您正在与贵组织的 AWS 顾问或迁移专家一起计划重新托管迁移。如果您的组织没有防火墙审批流程或防火墙请求一揽子审批表单，则可以使用此模式。有关此内容的更多信息，请参阅此模式的*限制*部分。有关应用程序迁移服务的网络要求的更多信息，请参阅应用程序迁移服务文档中的[网络要求](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html)。

## 先决条件和限制
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-prereqs"></a>

**先决条件**
+ 由贵组织的 AWS 顾问或迁移专家进行计划中的重新托管迁移
+ 迁移堆栈所需端口和 IP 信息
+ 现有和未来状态架构图
+ 有关本地和目标基础架构、端口和流 zone-to-zone量的防火墙信息
+ 防火墙请求审查清单（随附）
+ 根据贵组织要求配置的防火墙请求文档
+ 防火墙审阅者和审批者的联系人列表，包括以下角色：
  + **防火墙请求提交者** — AWS 迁移专家或顾问。防火墙请求提交者也可以是您组织中的迁移专家。
  + **防火墙请求审阅者** — 通常，这是来自的单点联系人 (SPOC)。 AWS
  + **防火墙请求批准者**- InfoSec 团队成员。

**限制**
+ 此模式描述了一个通用防火墙请求审批过程。各个组织的要求可能有所不同。
+ 请确保跟踪对防火墙请求文档的更改。

下表显示了此模式的用例。


| 
| 
| 您的组织是否有现有的防火墙审批流程？ | 您的组织是否有现有的防火墙请求表单？  | 建议采取的措施 | 
| --- |--- |--- |
| 支持 | 是 | 与 AWS 顾问或迁移专家合作，实施贵组织的流程。 | 
| 否 | 是 | 使用此模式的防火墙审批流程。请贵组织的 AWS 顾问或迁移专家提交防火墙申请一揽子批准表。 | 
| 否 | 否 | 使用此模式的防火墙审批流程。请贵组织的 AWS 顾问或迁移专家提交防火墙申请一揽子批准表。 | 

## 架构
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-architecture"></a>

下图显示了防火墙请求审批过程的步骤。

![\[在重新托管迁移到 AWS Cloud 期间，防火墙请求 InfoSec 团队批准的流程。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/images/pattern-img/cf9b58ad-ab6f-43d3-92da-968529c8d042/images/c672f7ce-6e9f-4dbc-bf2c-4272a6c4432b.png)


## 工具
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-tools"></a>

您可以使用诸如 [Palo Alto Network](https://www.paloaltonetworks.com/) s 之类的扫描器工具 [SolarWinds](https://www.solarwinds.com/)，也可以分析和验证防火墙和 IP 地址。

## 操作说明
<a name="create-an-approval-process-for-firewall-requests-during-a-rehost-migration-to-aws-epics"></a>

### 分析防火墙请求
<a name="analyze-the-firewall-request"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 分析端口和 IP 地址。 | 防火墙请求提交者完成初步分析，以了解所需防火墙端口和 IP 地址。完成后，他们会要求您的 InfoSec 团队打开所需的端口并映射 IP 地址。 | Amazon Web Services Cloud 工程师、迁移专家 | 

### 验证防火墙请求
<a name="validate-the-firewall-request"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 验证防火墙信息。 |  AWS 云 工程师安排与您的 InfoSec 团队会面。在此会议期间，工程师将检查并验证防火墙请求信息。通常情况下，防火墙请求提交者与防火墙请求者是同一个人。如果发现任何问题或提出任何建议，则此验证阶段可以根据审批者给出的反馈进行迭代。 | Amazon Web Services Cloud 工程师、迁移专家 | 
| 更新防火墙请求文档。 |  InfoSec 团队分享反馈后，将编辑、保存并重新上传防火墙请求文档。本文档在每次迭代后都会更新。我们建议您将此文档存储在受版本控制的存储文件夹中。这意味着所有更改都会被跟踪并正确应用。 | Amazon Web Services Cloud 工程师、迁移专家 | 

### 提交防火墙请求
<a name="submit-the-firewall-request"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 提交防火墙请求。 | 在防火墙请求批准者批准防火墙一揽子批准请求后， AWS 云 工程师提交防火墙请求。该请求指定了必须打开的端口以及映射和更新 AWS 账户所需 IP 地址。您可以在提交防火墙请求后提出建议或提供反馈。我们建议您自动执行此反馈流程，并通过定义的工作流机制发送任何编辑内容。  | Amazon Web Services Cloud 工程师、迁移专家 | 

## 附件
<a name="attachments-cf9b58ad-ab6f-43d3-92da-968529c8d042"></a>

要访问与此文档相关联的其他内容，请解压以下文件：[attachment.zip](samples/p-attach/cf9b58ad-ab6f-43d3-92da-968529c8d042/attachments/attachment.zip)